AWS Key Management Service とは

AWS Key Management Service (AWS KMS) は、データの暗号化に使用される暗号化キー カスタマーマスターキー (CMKs) の作成と管理を容易にするマネージド型サービスです。AWS KMS CMKs は、FIPS 140-2 暗号化モジュール検証プログラムによって検証されるハードウェアセキュリティモジュール (HSM) によって保護されています (中国 (北京) および 中国 (寧夏) リージョンを除く)。

AWS KMS は、データを暗号化する他のほとんどの AWS のサービスと統合されています。AWS KMS は、AWS CloudTrail とも統合されており、監査、規制、コンプライアンスのニーズに応じて CMKs の使用をログに記録します。

を作成および管理できます。。AWS KMSカスタマーマスターキーCMKs

• 対称および非対称 の作成、編集、および表示 CMKs

• CMKs キーポリシー、 IAMポリシー、および許可許可の使用を使用して、 へのアクセスを制御します。 はAWS KMS、属性ベースのアクセスコントロール (ABAC) をサポートしています。条件キーを使用してポリシーを絞り込むこともできます。

• のフレンドリ名であるエイリアスを作成、削除、一覧表示、および更新しますCMKs。また、エイリアスを使用して へのアクセスを制御することもできますCMKs。

• 識別、自動化、およびコスト追跡CMKsのために にタグ付けします。タグを使用して へのアクセスを制御することもできますCMKs。

• を有効または無効にする CMKs

• の暗号化マテリアルの自動ローテーションを有効または無効にします。 CMK

• CMKs を削除してキーのライフサイクルを完了する

CMKs は暗号化オペレーションで使用できます。例については、「AWS KMS API のプログラミング」を参照してください。

• 対称または非対称 CMKs によるデータの暗号化、復号、再暗号化

• 非対称 CMKs によるメッセージの署名と検証

• エクスポート可能な対称データキーと非対称データキーペアの生成

• 暗号化アプリケーションに適したランダムな数値の生成

AWS KMS のアドバンスト機能を使用できます。

• 暗号化マテリアルを にインポートする CMK

• CMKs クラスターによってバックアップされている独自のカスタムキーストアに AWS CloudHSM を作成する

• VPC AWS KMSのプライベートエンドポイントを介して に直接接続する

• ハイブリッドポスト量子 TLS を使用して、送信データの転送中の前方暗号化を AWS KMS で提供する

AWS KMS を使用することで、暗号化するデータへのアクセスをより詳細に制御できます。キー管理および暗号化機能を直接アプリケーションで使用するか、AWS と統合される AWS KMS サービスを通じて使用できます。AWS のアプリケーションを作成しているか、AWS のサービスを使用しているかにかかわらず、AWS KMS では カスタマーマスターキー を使用できるユーザーを制御し、暗号化されたデータにアクセスすることができます。

AWS KMS は、指定した AWS CloudTrail バケットにログファイルを配信するサービスである Amazon S3 と統合されます。CloudTrail を使用することで、CMKs がいつどのように使用されたかと、使用したユーザーをモニタリングし、調査できます。

AWS KMS リージョンの AWS

AWS がサポートされる AWS KMS リージョンを AWS Key Management Service エンドポイントとクォータ に示します。AWS KMS がサポートしている AWS リージョンで、サポートされない AWS KMS 機能がある場合は、その機能に関するトピックでリージョンごとの違いが説明されています。

AWS KMS の料金

他の AWS 製品と同様、AWS KMS を使用するための契約や最低購入量は必要ありません。AWS KMS の料金の詳細については、「AWS Key Management Service 料金表」を参照してください。

サービスレベルアグリーメント (SLA)

AWS Key Management Service は、サービス可用性ポリシーを定義するサービスレベルアグリーメントによってサポートされています。

詳細はこちら

• AWS KMS で使用される用語と概念については、「AWS KMS の概念」を参照してください。

• AWS KMS API の詳細については、AWS Key Management Service API Reference を参照してください。さまざまなプログラミング言語の例については、「」を参照してください AWS KMS API のプログラミング。

• が暗号化AWS KMSを使用し、 を保護する方法の詳細についてはCMKs、「」AWS Key Management Service の暗号化の詳細を参照してください。暗号化の詳細ドキュメントでは、 AWS KMS および 中国 (北京) リージョンでの 中国 (寧夏) の動作は説明されていません。

• AWS KMS に関する質問のヘルプについては、「AWS Key Management Service ディスカッションフォーラム」を参照してください。

AWS KMS AWS SDKs

• AWS Command Line Interface

• AWS SDK for .NET

• AWS SDK for C++

• AWS SDK for Go

• AWS SDK for Java

• AWS SDK for JavaScript

• AWS SDK for PHP

• AWS SDK for Python (Boto3)

• AWS SDK for Ruby